Bundesamt für Sicherheit in der Informationstechnik

M 4.324 Konfiguration von Autoupdate-Mechanismen beim Patch- und Änderungsmanagement

Verantwortlich für Initiierung: Änderungsmanager

Verantwortlich für Umsetzung: Administrator

Viele Produkte verfügen über automatische Update-Mechanismen (Autoupdate), die die Anwender darüber informieren, wenn Patches oder Updates vorhanden sind. Häufig bieten diese auch die Option, die Updates sofort über das Internet herunterzuladen und zu installieren. In der Regel enthalten heute alle Betriebssysteme und verfügbaren Standardsoftwarepakete solche Mechanismen. Die Funktionsweise des Update-Mechanismus ist je nach Version, Installationsmodus und Hersteller unterschiedlich ausgeprägt.

Üblicherweise suchen IT-Produkte mit Autoupdate bei jedem Start des Systems oder bei jeder Einwahl in das Internet auf einem öffentlichen Updateserver nach neuen Versionen oder Softwarepaketen. Produkte bieten verschiedene Möglichkeiten, den Autoupdate-Mechanismus zu konfigurieren. Wenn neue IT-Komponenten in Betrieb genommen werden, sollte immer auch überprüft werden, ob und welche Update-Mechanismen diese haben und wie diese konfiguriert werden können. Dabei sollten auch kontrolliert werden, welche Daten vom Autoupdate-Mechanismus zum Hersteller übertragen werden. Es sollte zunächst grundsätzlich geklärt werden, wie mit diesen Mechanismen umgegangen wird. Danach sollte festgelegt werden, wie die Update-Funktionen konkret in den verschiedenen Produkten konfiguriert werden. Im folgenden wird ein Überblick über verschiedene Varianten dieser Mechanismen gegeben.

Das komplette Deaktivieren wird nicht von jeder Software angeboten. Falls die Institution die unkontrollierte Kommunikation von IT-Komponenten mit der Außenwelt unterbinden will, müssen hierfür Paketfilter eingesetzt werden.

Wird eine Abfrage von einem öffentlichen Update-Server nicht gewünscht, lassen sich viele Softwareprodukte auf andere Internet-Adressen als die des Herstellers, beispielsweise interne, umlenken.

Einige Hersteller bieten Software für den Eigenbetrieb von Update-Servern oder Update-Spiegelservern an, dabei wird der Update-Server in der Institution lokal installiert (z. B. Windows Server Update Services WSUS). Der Update-Server kommuniziert dann direkt mit dem Hersteller und lädt die gewünschten Aktualisierungen direkt vom Hersteller. Der Vorteil dieser Lösung ist, dass die von der Aktualisierung betroffenen IT-Systeme einer Institution nicht selber mit dem Update-Server des Herstellers kommunizieren müssen, sondern nur mit dem lokal installierten. Dadurch kann der Datenverkehr nach Außen auf ein Mindestmaß reduziert werden. Bei vielen Produkten für Update-Servern lassen sich die gewünschten Einstellungen komfortabel über eine grafische Benutzeroberfläche (GUI) vornehmen. Allerdings gibt es auch Produkte, bei denen die notwendigen Einstellungen, um lokale Update-Server zu verwenden oder die Abfrage von einem öffentlichen Updateserver zu unterbinden, verborgen oder nur per Paketfilter bzw. Firewall zu unterbinden sind.

Falls öffentliche Update-Server genutzt werden sollen, so ist zunächst die Authentizität des Update-Servers zu prüfen, siehe M 4.177 Sicherstellung der Integrität und Authentizität von Softwarepaketen . Außerdem sollte untersucht werden, ob Zeitintervalle oder Ereignisse zur Steuerung der Update-Abfrageaktion eingestellt werden können. Die Einstellungen müssen dann entsprechend der festgelegten Änderungsstrategie vorgenommen werden.

Es sollte geprüft werden, wie die Kommunikation mit Update-Servern auf das geringst mögliche Maß beschränkt werden kann. Außerdem muss entschieden werden, ob die direkte Kommunikation mit dem Hersteller als einzige Alternative oder parallel zur internen Kommunikation (Parallelkonfiguration) betrieben werden soll.

Eine Parallelkonfiguration ist häufig sinnvoll für mobile Nutzer, welche nicht immer innerhalb des Behörden- oder Unternehmensnetzes kommunizieren. Bei mobilen IT-Systemen kann es beispielsweise wichtiger sein, unterwegs einen aktuellen Patch einzuspielen, wenn dieser eine gefährliche Sicherheitslücke schließt, als auf die Freigabe vom Änderungsmanagement zu warten. Es kann jedoch auch gewünscht werden, dass sämtliche Software-Änderungen ausschließlich durch die interne freigegebene Softwareverteilung erfolgen.

Bei Autoupdate-Mechanismen ist unter anderem noch zu beachten, ob die Änderungen vom Hersteller nur auf ein internes IT-System geladen werden und die Installation der Änderung danach dem Benutzer überlassen wird, oder ob diese nach dem Herunterladen sofort automatisch installiert werden.

Außerdem muss festgelegt werden, wie mit eventuell benötigten Neustarts von IT-Systemen nach der Installation von Änderungen umgegangen wird, also ob diese direkt oder z. B. erst beim Herunterfahren des Systems erfolgen.

Prüffragen:

  • Wurden bei der Festlegung der Patch- und Änderungsmanagementstrategie für die Institution auch Vorgaben zu Autoupdate-Mechanismen getroffen?

  • Werden neue Komponenten daraufhin überprüft, ob und welche Autoupdate-Mechanismen diese haben?

  • Wurde festgelegt, wie Autoupdate-Mechanismen abgesichert werden?

Stand: 13. EL Stand 2013